Beveiligingsonderzoekers melden een ernstige kwetsbaarheid in een belangrijk beveiligingssysteem voor de luchtvaart. Hierdoor konden onbevoegde personen mogelijk luchthavencontroles omzeilen en zelfs toegang krijgen tot cockpitstoelen in vliegtuigen.
Twee onafhankelijke onderzoekers, Ian Carroll en Sam Curry, vonden de kwetsbaarheid in FlyCASS, een webgebaseerde dienst die sommige luchtvaartmaatschappijen gebruiken om het zogenaamde Known Crewmember-programma (KCM) en het Cockpit Access Security System (CASS) te beheren. KCM, een initiatief van de Transportation Security Administration (TSA), stelt piloten en cabinepersoneel in staat om de gebruikelijke veiligheidscontroles over te slaan. CASS geeft bevoegde piloten toegang tot cockpitstoelen tijdens het reizen.
FlyCASS, beheerd door ARINC, een dochteronderneming van Collins Aerospace, controleert de gegevens van luchtvaartmedewerkers via een online platform. De onderzoekers ontdekten echter dat het inlogsysteem van FlyCASS kwetsbaar was voor een sql-injectie, een techniek waarbij kwaadwilligen schadelijke sql-opdrachten kunnen invoeren om databasequery’s te manipuleren.
Inloggen
Door deze kwetsbaarheid konden de onderzoekers inloggen als beheerder voor een luchtvaartmaatschappij, Air Transport International. Ze voegden een fictieve medewerker, onder de naam ‘Test TestOnly’, toe en gaven dit account toegang tot zowel KCM als CASS. Dit stelde hen in staat om de veiligheidscontroles te omzeilen en toegang te krijgen tot de cockpits van commerciële vliegtuigen.
Met basiskennis van sql-injectie kon iedereen inloggen op deze site en personen toevoegen aan KCM en CASS, waardoor ze zowel de veiligheidscontroles konden overslaan als toegang kregen tot cockpits, de onderzoekers.
Na de ernst van de situatie te hebben ingezien, namen de twee in april contact op met het Department of Homeland Security. FlyCASS werd een maand later losgekoppeld van het KCM/CASS-systeem als voorzorgsmaatregel. De kwetsbaarheid werd kort daarna opgelost.
‘Toegang onmogelijk’
De TSA ontkende evenwel de impact van de kwetsbaarheid en stelde dat hun procedures ervoor zouden zorgen dat onbevoegde toegang onmogelijk was. Al merkten de onderzoekers op dat de TSA in alle stilte informatie van hun website verwijderde. Informatie die overigens in tegenspraak was met deze verklaringen.
Is hiermee de kous af? Toch niet helemaal. Zo wees onderzoek later uit dat FlyCASS in februari 2024 al slachtoffer was van een MedusaLocker-ransomware-aanval. Dit benadrukt, volgens de onderzoekers, de kwetsbaarheid van dergelijke systemen en de noodzaak van voortdurende beveiligingsmaatregelen.